Mobility

  • IBM安全產品線全解讀 聯動一切的QRadar

    IBM安全產品線全解讀  聯動一切的QRadar

    原創 2016-09-27 Martin安全牛

    201110月,網路安全公司Q1 LabsIBM3440萬美元的價格收購,Q1 Labs旗下的明星”SIEM產品QRadar20082012年處在Gartner魔力象限的SIEM領導者地位)也自然被IBM收入囊中,並納入其安全產品線之列。

    QRADAR news1

    很多人仍有這樣一個誤區:不像IBM Watson那樣高大上QRadar仍舊只是一個進行日誌分析和事件管理的工具。其實則不然。

    不只是SIEM

    IBM安全對其安全產品線進行梳理,進而提出的安全免疫系統中,QRadar處於安全智慧,也是中心的位置。其本身包含SIEM、日誌管理、漏洞管理和風險管理等功能模組。以及,例如,針對QRadar用戶行為分析(UBA)功能擴展,在Security App Exchange由合作夥伴或IBMQRadar開發的61個功能擴展包,以便QRadar產品自身功能性的延展以及和其它廠商的安全設備的聯動。

    QRADAR news2

    Security App Exchange平臺

    由此可見,QRadar目前的所具備的功能,遠不止SIEM這麼簡單。然而,由於QRadar本身是由SIEM起家,所以對於QRadar來講,它首先仍是對日誌的管理,之後才是安全事件,以及對事件回應流程的控制。同時,延伸出對漏洞、風險的管理,以及對用戶行為的分析等。這些都是QRadar的重要能力所在,也是實現和安全設備聯動的基礎。

    QRadar為核心的聯動

    QRadar與傳統SIEM的最大區別,在於傳統SIEM更多的只是針對安全事件進行預警,而QRadar更多的則是透過與安全設備的聯動,即安全設備根據QRadar的指令做出回應動作,使企業整個安全防禦體系可以根據不同安全事件的發現或發生,進行即時動態的防禦規則變更,對安全事件進行自動化的回應。

    QRADAR news3
    安全免疫系統

    當然,QRadar和企業內部網路部署的安全設備的關係,不會像一個糖葫蘆一樣分先後,而更像是司令部,在企業安全防線的後方,搜集戰情,分析戰況,甚至作為指揮中心,調兵遣將。

    1.安全性漏洞的修復——BigFix的聯動

    BigFixIBM2010年完成收購的終端安全管理軟體,其主要是針對桌面和資產進行管理,以及軟體和安全補丁的分發。在漏洞管理方面,QRadar本身有自己的相應模組。但其不同點在於,QRadar會將所有漏洞,如終端、網路設備或應用漏洞等全部彙聚到QRadar的漏洞管理模組中,同時還可以接入一些協力廠商的漏洞掃描工具。而BigFix則除了漏洞的發現外,更側重於對安全性漏洞的修復能力。

    BigFix的安全性漏洞資訊來源分成兩部分,本身BigFix自身有一個漏洞庫,漏洞庫中的補丁都是廠商發佈的官方補丁。另一部分是IBMX-Force平臺提供的威脅情報,比如說某個漏洞的CVE。但是,因為情報出來了不代表就有了安全補丁,所以BigFix本身有部分研究人員去對這些暫時沒有補丁的漏洞開發一些和其它設備聯動,或對相關漏洞利用進行檢查或阻斷的方法。

    在與QRadar的聯動方面,從終端的系統和軟體來看,透過BigFix的用戶端發現存在安全性漏洞後,QRadar會通知管理員這個安全性漏洞的情況以及相應的風險評級,安全管理員可以透過QRadar來告知BigFix是否決定修復;如果決定修復,補丁分發的操作可以在BigFix平臺上一鍵執行。

    QRADAR news4

    BigFixQRadar的聯動

    透過在不同終端安裝用戶端的方式,BigFix能夠收集客戶所有安裝軟體的基本資訊,並將這些資訊定時回饋給QRadar。而QRadar則從伺服器(而不是終端)的視角,將BigFix給出的資訊進行匯總和分類。如果確認某個伺服器缺少某個補丁,那麼QRadar就會透過BigFix及其用戶端實現漏洞的修復。同時,管理員可以透過BigFix平臺對漏洞修復進度進行即時監控。修復完成後,會將修復資訊再次回饋給QRadar的漏洞管理模組,並對系統記憶體在漏洞的資訊根據修復結果進行變更。

    安全性漏洞的修復與否,決定權在管理人員手裡,他們會根據QRadar給出的漏洞風險等級,以及是否會影響到企業業務連續性等指標去具體地權衡。

    2. X-Force——QRadar的主要威脅情報來源

    談到安全性漏洞,勢必要談談威脅情報。目前QRadar的威脅情報源,更多的是透過X-Force平臺的接入,其提供的諸如惡意軟體樣本、惡意IP或惡意DNS庫,CVE資訊等,都是QRadar非常重要的情報來源。

    IBM在全球擁有12個安全運營中心(SOC),很多SOC客戶都與IBM簽有相關協議,一些在運營過程中發現的安全問題,允許IBM共用到X-Force平臺,所以X-Force有大量的安全資料來自IBMSOC,對這些資料的分析和利用無疑成為了IBM安全的重要支撐力量。

    除此以外,還有一些來自本地的網路或安全設備的情報,例如MaaS360IBM實現對移動端設備進行管理的軟體)來確認企業員工是否對其手機進行了越獄或root。這種行為因為增加了被安裝惡意app的風險而被定義為違規事件,那麼作為一項脆弱資產,當這個高風險設備對內部資源進行訪問時,QRadar就會有所警覺。

    QRADAR news5

    MaaS360BYOD安全的支持

    3.網路層動態阻斷——Network Protection XGS的聯動

    BigFix相比,Network Protection XGS(以下簡稱XGS,作為功能類似於傳統的IPS的網路層的安全設備來講,其與QRadar的聯動則因為大量規則的動態配置,反而要複雜一些。與防火牆較為基礎的透過黑白名單進行規則匹配不同,IPS則是透過DPI(深度包檢測),將網路層的資料包進行7層解析,進而發現其中的安全威脅並實現阻斷動作。這也是IPS本身的優勢所在。

    QRADAR news6

    XGSQRadar的聯動

    XGS將其分析得來的資料以日誌的形式接入QRadar後,透過QRadarXGS日誌和駭客可能攻擊的目標設備日誌進行比較分析後,就可以清楚地得知駭客在透過何種攻擊手段攻擊企業網路中的哪部分資產,並在告知企業安全管理員的同時,QRadar會命令XGS和目標設備做出相應動作,同時在網路層和目標設備的訪問這兩個點進行阻斷。例如,XGS透過對資料包的解析確定是資料庫伺服器在遭到攻擊,那麼Guardium或者其它資料庫安全產品,就會對資料庫存取控制策略進行動態變更,並同時XGS在網路層對攻擊IP等進行阻斷。

    在發現攻擊的情況下,網路層和受攻擊設備兩個方面,同時進行防禦動作,這個過程也正是IPS資料對QRadar的意義所在。

    除此以外,如果企業透過某個漏洞掃描軟體,發現了某部分資產存在脆弱性,比如說安全性漏洞,但是由於所處行業比較特殊,或者相關廠商還未發佈安全補丁,那麼QRadar也可以根據這個漏洞的利用方式,在XGS上生成特定的規則,以實現對相關漏洞利用請求的阻斷。

    當然,IBM有自己的漏掃產品,AppScan,其作為一個檢測類工具,只能透過黑盒和白盒測試對應用的邏輯漏洞進行掃描,而不再有之後的動作,漏洞的修復需要與BigFix聯動完成,或者結合XGS對相應行為進行阻斷。

    QRADAR news7

    AppScan平臺

    AppScan側重的邏輯漏洞不同,IBM安全在移動端的反欺詐產品Trusteer Mobile,則更多的傾向於是否存在被惡意利用的安全性漏洞,即針對應用的惡意行為做檢測。特別是在金融領域,包括釣魚郵件,惡意url、惡意軟體和惡意網站等,同時Trusteer的惡意樣本庫也會接入X-Force平臺。因為很多漏洞利用的目標在於對特權帳戶的竊取,所以在發現應用漏洞的高危行為後,Trusteer也會透過QRadar與特權帳號管理模組(PIM)進行聯動。

    除了進行漏洞修復的BigFix和在網路層實現動態阻斷的XGS,再談談QRadarIBM的資料庫安全產品Guardium的雙向整合。

    4.資料庫存取控制和帳號許可權變更——Guardium的雙向整合以及和身份管理和認證平臺(IAM)的聯動

    在之前Guardium資料庫安全技術詳解》這篇文章中也有提到QRadarGuardium的雙向整合。Guardium作為資料庫安全這一細分領域的產品,往往在使用上常涉及特權帳號的管理。國內有很多客戶選擇使用堡壘機來實現對帳號及其許可權的控制,以及用戶行為的審計,這個功能IBM也有相應的身份與存取控制產品(PIM)來實現。

    QRADAR news8

    QRadarGuardium的雙向整合

    QRadarGuardium的雙向整合,主要目的在於避免由於錯誤配置和脆弱性資料庫資產所帶來的安全風險。透過Guardium的資料庫活動日誌的即時回傳,QRadar可以將資料庫活動資訊進行上下文環境的關聯分析,識別並阻止攻擊。同時,QRadar也可以命令,將XGS等安全設備分析出的可以IP資訊送給Guardium,並命令其阻斷來自此IP位址對資料庫的存取權限。如果這個IP是某個企業內部人員所使用,那麼對應的帳戶也可以透過QRadarPIM的聯動對其帳號許可權進行調整,並實行更為嚴格的安全性原則。

    例如,某人透過特權帳號登入資料庫(登入後其桌面會自動被PIM錄影),執行查詢語句並獲取相關的資料後,並對資料庫操作記錄進行了清除。Guardium會將其判斷為惡意或攻擊行為,其之後對資料庫的所有操作均會被Guardium阻斷,同時QRadar要求PIM在其登入時加上了雙因數認證的強制要求,同時命令XGS對所有此帳戶常用的終端在登入進企業內網時進行阻斷,並給出相關預警。

    在上面這個例子中,QRadar用戶行為分析(UBA模組是支撐Guardium判定很重要的一個點,UBA本身需要很多規則來對使用者的行為進行判定,判定後QRadar透過對GuardiumXGS以及PIM近乎同時的指令下達,從帳戶,網路接入以及資料庫存取權限三方面對高危行為進行約束和控制,以實現對企業資料安全的保護。

    除此以外,Qradar不但可以與特權帳號管理平臺(PIM)整合,還可以與IBM傳統的身份和認證平臺(IAM)實現整合,為企業提供更加深入地針對帳號和許可權的安全風險分析。例如,發現繞過統一認證平臺對後臺系統的訪問、帳號和許可權的變更、核心帳號的違規共用,以及員工離職變崗後訪問原有崗位敏感性資料等情況。

    QRADAR news9

    除了上面所提到的這些,今年3IBM才完成收購的Resilient SystemQRadar的聯動,則很好的補全了事件回應這一環,使得以QRadar的核心的IBM安全免疫系統真正具備了一個SOC工具所需具備的防禦+檢測+回應這三個能力。

    5.事件回應工單流程的自動化——Resilient System的聯動

    Resilient的事件回應,更多的是考慮一個安全運營中心的整個工作流程,是工單流程的自動化,而不再是像XGSGuardium一樣某個特定領域的安全產品。

    QRADAR news10

    QRadar中整合Resilient System

    安全事件的工單流程是什麼樣子的?這裡可以舉個簡單的例子。

    管理員透過QRadar看到了某個攻擊,包括攻擊本身的公網ip,攻擊者的目標以及發起攻擊所利用的安全性漏洞。出現了安全事件之後,需要進行的回應包括阻斷、漏洞修復等操作,而這些都需要一個工單流程來做。這時Resilient會告訴安全管理員這是一個編號為XXX的安全事件,這個事件的安全風險處於哪個級別,它的責任人是(假設為)小王,需要他對這起事件進行分析和處理。如果這是一個網站的安全問題,小王之後要通知網站管理員小劉。小劉發現是一個安全性漏洞,通知伺服器的運維人員小李在伺服器上打個補丁。小李最後讓小張調用BigFix去進行這個安全性漏洞的修復工作。

    這是一個標準的工單流程,它說明一個安全事件的處理流程,需要不同的人參與進來。

    當然,安全管理員還要判斷這個安全事件的影響範圍,如果影響到企業的客戶,要通知相關部門對其進行賠償和道歉,對於合作夥伴則要告知,對監管部門則要上報。雖然每個國家每個行業對這套流程的標準都不盡相同,但是Resilient也可以處理。同時,這個過程中還有可能涉及到企業外部的供應商,那麼對供應商可以拿到的資料是否有合規上的要求,比如某些業務資料要進行加密或脫敏處理,以及一些用戶隱私的保護,這些都是Resilient所考慮的。

    企業安全管理員透過QRadar發現的安全問題,可以透過Resilient以幾乎自動工單的方式,和相關安全設備進行對接,並透過QRadar對整個工單流程的實施進展進行即時監控。

    QRadarSOC中的定位

    QRadar及其和IBM安全產品線的聯動,而形成的這一集安全防禦、安全檢測和安全回應的安全體系,是否就是一個完整的安全運營中心?IBM認為不是,理由在於QRadar沒有大腦,它目前還無法做到將一切事項自動化,同時這個安全體系仍舊需要安全分析師來進行決策。也就是說,在發生安全事件之後,還是需要人來決定如何處理、回應,而QRadar只能說是SOC裡比較好用的工具之一。

    類似於醫院,即使有血常規、B超、腦部CT等檢查報告,它們也只是輔助醫師對患者的病情進行更準確的判斷,但最終的診斷和處方,還是由醫生本人來確定和開具。最近IBM宣導的認知安全也是如此,雖然它在不斷的學習如何從安全的角度來看待自然語言文本,但其現階段的目標也還只是減少企業安全分析師在技能上的缺陷,以及大幅度縮減其用於安全分析的時間成本,但它還遠不能代替安全分析師來做決斷。

    QRADAR news11

    IBM Watson輔助醫生做出診斷

    不過,可以看到,QRadar2012年進入IBM安全產品線以來,其自身早已不再是傳統的SIEM那麼簡單,而是作為IBM安全免疫體系中真正的核心,統率著整個IBM安全產品線。

    安全牛評
    IBM
    最大的優勢,就是在於對未來趨勢發展的準確把握和判斷,以及IBM對各細分安全領域處於領導者地位的安全廠商進行收購後,對其產品極強的整合能力。透過收購,不僅是從產品類別或功能上對整個IBM安全產品線進行補充,同時還與其它安全產品形成有機的聯動。這無疑成就了IBM安全免疫體系特有的協同效果。